[LCFC] ddp://manuals.sgml/securing-howto/fr/before-compromise.sgml

[Simon Valiquette <v.simon@ieee.org>]

Stéphane Blondon un jour écrivit:
> Le 15 décembre 2008 14:11, Simon Valiquette <v.simon@ieee.org> a écrit :
> >  Voici un 8e chaptitre à réviser.
>
> Corrections et propositions dans le fichier joint.

  Bien vu pour librairies ==> bibliothèque et les autres corrections: 
j'ai tout intégré.

  J'ai également trouvé et corrigé quelques erreurs de plus, dont
"un espace" => "une espace" dans ce même paragraphe.

  Merci Stéphane et je passe donc en LCFC.

Simon

Index: before-compromise.sgml
===================================================================
--- before-compromise.sgml	(révision 5612)
+++ before-compromise.sgml	(copie de travail)
@@ -1,22 +1,113 @@
-<!-- CVS revision of original english document "1.11" -->
+<!-- Subversion revision of original English document "4771" -->
 
 <chapt>Avant la compromission
 <!-- A traduire compromise!. C'est Ok! jpg -->
 
-<sect id="keep-up-to-date">Mettre à jour le système en permanence
+<sect id="keep-secure">Maintenez votre système sécurisé
 
+<p>Vous devriez faire tous les efforts nécessaires pour maintenir
+votre système sécurisé en surveillant son utilisation ainsi que les
+vulnérabilités qui pourraient l'affecter, en ajoutant les rustines
+dès qu'elles sont disponibles. Même si vous avez installé un
+système vraiment sécurisé, vous devez garder à l'esprit que la
+sécurité d'un système se dégrade avec le temps. Des failles de
+sécurité peuvent être découvertes pour les services offerts
+et les utilisateurs peuvent affaiblir la sécurité du système
+soit à cause d'une incompréhension (par exemple, en accédant au
+système à distance à l'aide d'un protocole non chiffré, ou en
+utilisant des mots de passe faciles à deviner), ou parce qu'ils
+essaient activement de corrompre la sécurité du système (i.e.
+installer des services supplémentaires dans leur compte local).
+
+<sect1 id="track-vulns">Surveillance des failles de sécurité
+
+<p>Bien que la plupart des administrateurs ne soient conscients des
+failles de sécurité affectant leur système que lorsqu'un correctif est
+rendu disponible, vous pouvez être proactif et tenter de prévenir les
+attaques en introduisant des contre-mesures temporaires contre ces
+vulnérabilités dès que vous détectez qu'elles peuvent affecter votre
+système. Ceci est particulièrement vrai quand vous utilisez un système
+exposé (i.e. connecté à Internet) et fournissez un service. Dans ce cas,
+les administrateurs systèmes devraient surveiller attentivement les
+sources d'informations connues pour être les premiers à être informés
+lorsqu'une faille qui pourrait affecter un service critique est détectée.
+
+<p>Ceci inclut habituellement de s'abonner à la liste de diffusion des
+annonces, sur le site web du projet ou le système de suivi des bogues
+fourni par les développeurs pour les applications à surveiller.
+Par exemple, les utilisateurs d'Apache devraient surveiller régulièrement
+la <url id="http://httpd.apache.org/security_report.html";
+name="liste des failles de sécurité connues"> et s'inscrire à la
+liste de diffusion des
+<url id="http://httpd.apache.org/lists.html#http-announce";
+name="annonces du serveur Apache">.
+
+<p>Pour suivre les failles de sécurité connues affectant Debian,
+l'équipe de sécurité de Debian de la version <em>testing<em> maintient
+un <url id="http://security-tracker.debian.net/"; name="gestionnaire de
+la sécurité"> qui liste toutes les vulnérabilités connues qui n'ont pas
+encore été corrigées dans les paquets Debian. L'information est obtenue
+via plusieurs sources publiques et contient les failles connues qui sont
+disponibles soit par les bases de données de vulnérabilité
+ou <url id="http://www.debian.org/Bugs/"; name="le système de suivi des
+bogues de Debian">. Les administrateurs peuvent chercher les problèmes
+de sécurité connus qui sont suivis pour
+<url id="http://security-tracker.debian.net/tracker/status/release/stable"; name="stable">,
+<url id="http://security-tracker.debian.net/tracker/status/release/oldstable"; name="oldstable">,
+<url id="http://security-tracker.debian.net/tracker/status/release/testing"; name="testing">,
+ou
+<url id="http://security-tracker.debian.net/tracker/status/release/unstable"; name="unstable">.
+
+<p>Le système de suivi fourni une interface avec un moteur de
+recherches (par nom et nom de paquet via <url id="http://cve.mitre.org/";
+name="CVE">) et d'autres outils (tel que <package>debsecan</package>,
+voir <ref id="debsecan">) utilisant ces bases de données pour
+fournir de l'information sur les vulnérabilités qui n'ont pas encore
+été résolues pour un système donné.
+
+<p>Les administrateurs consciencieux peuvent utiliser cette
+information pour déterminer quelles failles de sécurité peuvent
+affecter le système qu'ils gèrent, déterminer la sévérité du bogue et
+appliquer (si possible) des contre-mesures temporaires avant qu'un
+correctif soit disponible pour résoudre le problème.
+
+<p>Les problèmes de sécurité des versions supportées et suivis par
+l'équipe de sécurité de Debian vont généralement passer par un
+avis de sécurité Debian (DSA) et seront disponibles pour tous les
+utilisateurs (voir <ref id="keep-up-to-date">). Une fois que les
+problèmes de sécurité sont résolus et annoncés, ils ne seront plus
+affichés par le système de suivi, mais vous pourrez encore chercher
+les vulnérabilités par leur nom CVE en utilisant la
+<url id="http://www.debian.org/security/crossreferences";
+name="table de références croisées de sécurité"> disponible pour
+les DSA publiées.
+
+<p>Notez toutefois que l'information suivie par l'équipe de test de
+sécurité Debian ne concerne que les failles connues (i.e. celles qui
+ont déjà été rendues publiques). Parfois, l'équipe de sécurité
+Debian peut gérer et préparer des DSA pour des paquets selon des
+informations qui ne sont pas publiques et qu'ils ont obtenues par
+des listes de diffusions restreintes, par le découvreur de la faille
+ou par les développeurs du logiciel. Aussi, ne soyez pas surpris de
+découvrir des problèmes de sécurité affichés dans un DSA sans
+ne jamais avoir apparu dans le système de suivi des vulnérabilités.
+
+<sect1 id="keep-up-to-date">Mettre à jour le système en permanence
+
 <p>Vous devriez effectuer des mises à jour de sécurité fréquemment. La grande
 majorité des exploits résulte de failles connues qui n'ont pas été corrigées à
 temps, comme l'explique ce <url
 id="http://www.cs.umd.edu/~waa/vulnerability.html"; name="papier par
-Bill Arbaugh"> (presenté lors du Symposium 2001 IEEE sur la sécurité et la
+Bill Arbaugh"> (présenté lors du Symposium 2001 IEEE sur la sécurité et la
 confidentialité). Les mises à jour sont décrites dans <ref
 id="security-update">.
 
-<sect1>Vérifiez manuellement quand des mises à jour de sécurité sont disponibles
+<sect2>Vérifier manuellement si des mises à jour de sécurité sont
+disponibles
+
 <p>Debian dispose d'un outil spécifique pour déterminer si un système a besoin
-d'être mis à jour (voir Tiger ci-dessous), mais beaucoup d'utilisateurs
-veulement simplement vérifier si des mises à jour de sécurité sont disponibles
+d'être mis à jour, mais beaucoup d'utilisateurs
+veulent simplement vérifier si des mises à jour de sécurité sont disponibles
 pour leur système.
 
 <p>Si vous avez configuré votre système comme décrit dans
@@ -37,10 +128,10 @@
 
 <p>La première ligne téléchargera la liste des paquets disponibles depuis vos
 sources de paquets configurées. L'option <tt>-s</tt> effectuera une simulation
-d'exécution, c'est-à-dire, qu'elle ne va <em>pas</em> télécharger ou installer
+d'exécution, c'est-à-dire qu'elle ne va <em>pas</em> télécharger ou installer
 de paquets, mais qu'elle va plutôt vous dire quels paquets seraient téléchargés
 et/ou installés. À partir de cette sortie, vous pouvez en déduire quels paquets
-ont été corrigés dans debian et sont disponibles comme mise à jour de sécurité.
+ont été corrigés dans Debian et sont disponibles comme mise à jour de sécurité.
 Par exemple&nbsp;:
 <example>
 # apt-get upgrade -s
@@ -55,22 +146,82 @@
 Conf cvs (1.11.1p1debian-8.1 Debian-Security:3.0/stable)
 Conf libcupsys2 (1.1.14-4.4 Debian-Security:3.0/stable)
 </example>
+
 <p>Dans cet exemple, vous pouvez voir que le système a besoin d'être mis à jour
-avec des nouveaux paquets cvs et cupsys qui sont récupérés depuis l'archive de
-mises à jour de sécurité de <em>woody</em>. Si vous voulez comprendre pourquoi
-de tels paquets sont nécessaires, vous devriez aller à
-<url id="http://security.debian.org";> et vérifier quelles Alerts de sécurité
-Debian (DSA) récentes ont été publiées concernant ces paquets. Dans ce cas, les
-DSA concernées sont
-<url id="http://www.debian.org/security/2003/dsa-233"; name="DSA-233"> (pour cvs)
-et
-<url id="http://www.debian.org/security/2003/dsa-232"; name="DSA-232"> (pour cupsys).
+avec les nouveaux paquets <package>cvs</package> et
+<package>cupsys</package> qui sont récupérés depuis l'archive de
+mises à jour de sécurité de <em>Woody</em>. Si vous voulez comprendre
+pourquoi de tels paquets sont nécessaires, vous devriez aller à
+<url id="http://security.debian.org";> et vérifier quelles alertes de
+sécurité Debian (DSA) ont été récemment publiées concernant ces paquets.
+Dans ce cas, les DSA concernées sont
+<url id="http://www.debian.org/security/2003/dsa-233"; name="DSA-233">
+(pour <package>cvs</package>) et
+<url id="http://www.debian.org/security/2003/dsa-232"; name="DSA-232">
+(pour <package>cupsys</package>).
 
 <p>Remarquez que vous devrez redémarrer votre système s'il y a eu une
 mise à jour du noyau.
 
-<sect1 id="cron-apt">Vérifiez automatiquement les mises à jour avec cron-apt
+<sect2 id="update-desktop">Vérifier les mises à jour sur la station
+de travail
 
+<p>Depuis Debian&nbsp;4.0 <em>Lenny</em>, Debian fournit et installe
+par défaut <package>update-notifier</package>. C'est une application
+GNOME qui est lancée lors de l'ouverture de la session et qui peut
+être utilisée pour faire le suivi des mises à jour disponibles pour
+votre système et les installer. Il le fait en utilisant le paquet
+<package>update-manager</package>.
+
+<p>Pour un système stable, les mises à jour sont seulement disponibles
+quand un correctif de sécurité est disponible ou pour les versions
+intermédiaires. En conséquence, si le système est configuré
+correctement pour recevoir les mises à jour de sécurité tel que
+décrit dans <ref id="security-update"> et que vous avez une tâche
+cron qui met à jour les informations sur les paquets, vous
+serez averti par une icône dans l'espace de notification du bureau.
+
+<p>La notification n'est pas intrusive et les utilisateurs ne sont pas
+forcés d'installer les mises à jour. Depuis l'icône de notification,
+un utilisateur du bureau (avec le mot de passe administrateur) peut
+accéder à une interface simple et voir les mises à jour disponibles
+puis de les installer.
+
+<p>Cette application fonctionne en consultant la base de données des
+paquets et en la comparant avec le système. Si cette base de données
+est mise à jour régulièrement par une tâche <prgn>cron</prgn>, alors
+son contenu sera plus récent que les paquets installés sur le système
+et l'application pourra vous avertir.
+
+<p><prgn>Apt</prgn> installe une telle tâche cron
+(<file>/etc/cron.d/apt</file>) qui s'exécutera selon la configuration
+d'APT (plus spécifiquement <em>APT::Periodic</em>). Dans
+l'environnement GNOME, la valeur de la configuration peut être ajustée
+dans le menu Système &gt; Administration &gt; Sources de mise à jour
+&gt; Updates, ou en exécutant <prgn>/usr/bin/software-properties</prgn>.
+
+<p>Si le système télécharge quotidiennement la liste des paquets,
+mais ne télécharge pas les paquets eux-mêmes, votre fichier
+<file>/etc/apt/apt.conf.d/10periodic</file> devrait
+ressembler à ceci&nbsp;:
+
+<example>
+APT::Periodic::Update-Package-Lists "1";
+APT::Periodic::Download-Upgradeable-Packages "0";
+</example>
+
+<p>Vous pouvez utiliser une tâche cron différente, comme celle
+installée par <package>cron-apt</package> (voir <ref id="cron-apt">).
+Vous pouvez aussi simplement vérifier manuellement les mises à jour
+en utilisant cette application.
+
+<p>Les utilisateurs de l'environnement KDE préféreront probablement
+installer à la place <package>adept</package> et
+<package>adept-notifier</package>. Ils fournissent des fonctionnalités
+similaires, mais ils ne sont pas installés par défaut.
+
+<sect2 id="cron-apt">Vérifier automatiquement les mises à jour avec cron-apt
+
 <p>Une autre méthode pour des mises à jour de sécurité automatique est
 l'utilisation de <package>cron-apt</package>. Ce paquet fournit un outil pour
 mettre à jour le système à intervalles réguliers (en utilisant une tâche cron).
@@ -84,98 +235,63 @@
 paquets). Sinon, vous ne pouvez pas être certain que les paquets téléchargés
 proviennent réellement d'une source de confiance.
 
-<sect1>Utilisez Tiger pour vérifier automatiquement les mises à jour de sécurité
+<p>Pour plus d'informations, consultez le
+<url id="http://www.debian-administration.org/articles/162";
+name="site d'administration de Debian">.
 
-<p>Si vous recherchez un outil pour vérifier rapidement et fournir un compte
-rendu sur les failles de sécurité d'un système, essayez le paquet
-<package>tiger</package>. Ce paquet est un ensemble de scripts shell Bourne, de
-programmes C et de fichiers de données utilisés pour effectuer des audits de
-sécurité. Le paquet Debian GNU/Linux dispose d'améliorations supplémentaires
-orientés vers la distribution Debian, en fournissant plus de fonctionnalités que
-les scripts Tiger fourni par TAMU (ou même TARA, une version de tiger distribuée
-par ARSC). Voir le fichier <file>README.Debian</file> et la page de
-manuel <manref section="8" name="tiger"> pour plus d'informations.
+<sect2 id="debsecan">Vérifier automatiquement les problèmes de
+sécurité avec debsecan
 
-<p>L'une de ces améliorations est le script <tt>deb_checkadvisories</tt>. Ce
-script prend une liste de DSA et la vérifie par rapport à la base de paquets
-installés, en indiquant tout paquets qui serait vulnérables selon l'équipe de
-sécurité Debian. Cela est une approche légèrement différente et plus générale
-que celle implémentée par le script Tiger <tt>check_signatures</tt> qui vérifie
-les MD5sums de programmes vulnérables connus.
+<p>Le programme <prgn>debsecan</prgn> évalue l'état de la sécurité en
+listant à la fois les mises à jour de sécurité non effectuées et les
+vulnérabilités sans correctif alors que <package>cron-apt</package> ne
+fournit qu'un rapport sur les mises à jour non effectuées.
+<prgn>debsecan</prgn> obtient les informations sur les failles qui ne
+sont pas corrigées à l'aide de la base de données des vulnérabilités
+qui est gérée par l'équipe de sécurité de Debian.
+Par conséquent, tel que décrit dans <ref id="track-vulns">, il aide
+plus efficacement les administrateurs à suivre les failles de sécurité.
 
-<p>Comme Debian ne fournit pas actuellement une liste de MD5sums des programmes
-vulnérables connus (utilisée par certains autres systèmes d'exploitation comme Sun
-Solaris), l'approche <em>vérifier-par-rapport-aux-DSA</em> est utilisée.
-L'approche DSA et l'approche MD5sums souffrent toutes deux du problème que les
-signatures doivent être mises à jour régulièrement.
+<p>En installant le paquet <package>debsecan</package>, et si
+l'administrateur le choisit, une tâche cron qui exécutera périodiquement
+<prgn>debsecan</prgn> sera ajoutée et notifiera l'utilisateur spécifié
+lorsqu'un paquet vulnérable est détecté. L'emplacement de la base de
+données des vulnérabilités fait aussi partie des questions posées lors
+de l'installation et peut ensuite être modifié dans le fichier
+<file>/etc/default/debsecan</file>. Ceci est utile pour les systèmes
+qui n'ont pas un accès direct à l'Internet et qui doivent télécharger
+les nouvelles informations depuis un miroir local afin qu'il n'y ait
+qu'un seul chemin pour mettre à jour la base de données des vulnérabilité.
 
-<p>Cela est actuellement résolu en créant de nouvelles version du paquet Tiger,
-mais le responsable du paquet pourrait ne pas faire une nouvelle version à
-chaque fois qu'une DSA est annoncée. Un ajout agréable, qui n'est pas encore
-implémenté, serait de faire cela de façon proactive. C'est-à-dire, de
-télécharger les DSA du web, de faire la liste et d'exécuter la vérification. Les
-DSA sont actuellement mises à jour depuis la mise à jour CVS locale du
-responsable des sources WML utilisés pour construire <url
-id="http://security.debian.org";> (le serveur web).
+<p>Notez toutefois que l'équipe de sécurité fait le suivi de beaucoup
+de failles, y compris des problèmes peu dangereux qui peuvent ne pas
+être corrigés lors des mises à jour de sécurité. De plus, certaines
+failles initialement considérées comme affectant Debian peuvent,
+plus tard et après enquête, être abandonnées. <prgn>debsecan</prgn>
+notifiera toutes les failles, ce qui peut en faire un outil
+plus verbeux que les autres outils décrits ci-dessus.
 
-<p>Un programme pour analyser les DSA publiées, soit reçues par courriel ou
-disponible sur security.debian.org et qui générerait le fichier utilisé par
-<prgn>deb_checkadvisories</prgn> pour confirmer les failles serait apprécié. Envoyez un
-rapport de bogue pour <package>tiger</package>.
+<p>Pour plus d'informations, vous pouvez consulter le
+<url id="http://www.enyo.de/fw/software/debsecan/";
+name="site de l'auteur">.
 
-<p>La vérification mentionnée est exécuté par la configuration de programme
-standard une fois installé (voir <file>/etc/tiger/cronrc</file>)&nbsp;:
+<sect2>D'autres méthodes de mises à jour de sécurité
 
-<example>
-# Vérifie les mesures de sécurité Debian chaque jour à 1h00
-#
-1 * *   deb_checkmd5sums deb_nopackfiles deb_checkadvisories
-#
-</example>
+<p>Il y a aussi le paquet <package>apticron</package> qui,
+comme <package>apt-cron</package>, vérifiera les mises à jour et
+enverra des courriels à l'administrateur. Pour plus d'informations,
+vous pouvez consulter le
+<url id="http://www.debian-administration.org/articles/491";
+name="site d'administration de Debian">.
 
-<p>Il y a une vérification supplémentaire que vous pourriez vouloir ajouter, qui
-ne fait pas partie des scripts standard <prgn>cron</prgn> scripts. Cette
-vérification est le script <tt>check_patches</tt>, qui fonctionne de la façon suivante&nbsp;:
 
-<list>
-
-<item>exécuter <tt>apt-get update</tt>
-
-<item>vérifier si de nouveaux paquets sont disponibles
-
-</list>
-
-<p>Si vous utilisez un système <em>stable</em> et que vous ajoutez la ligne de source
-<prgn>apt</prgn> pour security.debian.org à votre fichier
-<file>/etc/apt/sources.list</file> (comme décrit dans <ref
-id="security-update">), ce script sera capable de vous dire s'il y a de nouveaux
-paquets que vous devez installer. Comme les seuls paquets modifiés dans cette
-configuration sont les mises à jour de sécurité, vous pourriez avoir exactement
-ce que vous désirez.
-
-<p>Bien sûr, ceci ne fonctionnera par si vous utilisez <em>testing</em>
-ou <em>sid/unstable</em>, car actuellement, les nouveaux paquets sont
-probablement beaucoup plus que des mises à jour de sécurité.
-
-<p>Vous pouvez ajouter ce script aux vérifications effectuées par la tâche <prgn>cron</prgn>
-(dans le fichier de configuration ci-dessus) et <prgn>tigercron</prgn> vous
-enverra par courrier (à l'expéditeur désigné par <tt>Tiger_Mail_RCPT</tt> dans le
-fichier <file>/etc/tiger/tigerrc</file>) la liste des nouveaux paquets&nbsp;:
-
-<example>
-# Vérifie les mesures de sécurité Debian chaque jour à 1h00
-#
-1 * *   deb_checkmd5sums deb_nopackfiles check_patches
-#
-</example>
-
-<sect1>D'autres méthodes de mises à jour de sécurité
-
 <P>Vous pourriez également regarder du côté de 
-<url id="http://therapy.endorphin.org/secpack/"; name="secpack"> qui est un
+<url id="http://clemens.endorphin.org/secpack/"; name="secpack"> qui est un
 programme non officiel pour effectuer des mises à jour de sécurité depuis
-security.debian.org avec des vérifications de signatures écrit par Fruhwirth
-Clemens.
+security.debian.org écrit par Fruhwirth Clemens et qui vérifie les
+signatures, ou encore le module d'extension Nagios
+<url id="http://www.unixdaemon.net/nagios_plugins.html#check_debian_packages";
+name="check_debian_updates.sh"> écrit par Dean Wilson.
 
 <sect1>Évitez d'utiliser la branche unstable
 
@@ -195,12 +311,17 @@
 il se peut que vous deviez faire des mises à jour complètes vers de nouvelles
 versions (ce qui peut mettre à jour beaucoup plus que les paquets touchés). Bien
 qu'il y ait des exceptions, les correctifs de sécurité sont habituellement
-rétro-portés dans la branche <em>stable</em>. L'idée principale étant qu'entre
+rétroportés dans la branche <em>stable</em>. L'idée principale étant qu'entre
 les mises à jour, <em>aucun nouveau code</em> ne doit être ajouté, seulement des
 correctifs pour des problèmes importants.
 
-<sect1>Évitez d'utiliser la branche testing
+<p>Notez que vous pouvez utiliser le système de suivi de sécurité
+(décrit dans <ref id="track-vulns">) pour suivre les failles de
+sécurité affectant cette branche.
 
+<sect1 id="security-support-testing">Support de la sécurité pour la
+branche testing
+
 <p>Si vous utilisez la branche <em>testing</em>, il y a plusieurs problèmes que
 vous devez prendre en compte concernant la disponibilité des mises à jour de
 sécurité&nbsp;:
@@ -238,7 +359,7 @@
 <p>Ce comportement peut changer selon l'état de publication de la
 distribution. Quand une nouvelle version est presque imminente, l'équipe
 de sécurité ou les responsables de paquet peuvent fournir des mises à
-jour directement dans <em>testing</em>
+jour directement dans <em>testing</em>.
 
 <sect1>Mises à jour automatiques dans un système Debian GNU/Linux
 
@@ -267,7 +388,7 @@
 </example>
 <p>FIXME: vérifier si cette configuration est correcte.
 
-<item>Utiliser soit cron-apt comme décrit dans <ref id="cron-apt"> et activez-le
+<item>Utiliser soit cron-apt comme décrit dans <ref id="cron-apt"> et l'activer
 pour installer les paquets récupérés, soit ajouter une entrée <prgn>cron</prgn>
 vous-même pour que la mise à jour soit exécutée tous les jours, par exemple&nbsp;:
 
@@ -315,14 +436,15 @@
 
 <p>Si vous avez une distribution mixte, c'est-à-dire, une installation de
 <em>stable</em> avec des paquets mis à jour de <em>testing</em> ou
-d'<em>unstable</em>, vous pouvez jouez avec les préférences d'étiquetage ainsi
+d'<em>unstable</em>, vous pouvez jouer avec les préférences d'étiquetage ainsi
 qu'avec l'option <tt>--target-release</tt> d'<prgn>apt-get</prgn> pour ne mettre
 à jour <em>que</em> les paquets que vous avez mis à jour.
 <footnote>C'est un problème courant car beaucoup d'utilisateurs veulent
 conserver un système stable tout en mettant à jour certains paquets avec
 <em>unstable</em> pour obtenir les dernières fonctionnalités. Ce besoin provient
-de l'évolution plus rapide de certains projets que le temps entre les
-distributions <em>stable</em> de Debian.</footnote>
+de l'évolution plus rapide de certains projets que le temps mis
+par Debian pour publier une nouvelle version <em>stable</em> de sa
+distribution.</footnote>
 
 <sect id="periodic-integrity">Faites des tests d'intégrité périodiques
 
@@ -337,7 +459,7 @@
 connectés.<footnote>
 Une façon aisée de faire cela est d'utiliser un cédérom autonome (Live
 CD), comme <url id="http://www.knoppix-std.org/"; name="Knoppix Std"> qui
-incluerait à la fois les outils d'intégrité de fichier et la base de
+inclurait à la fois les outils d'intégrité de fichier et la base de
 donnée pour votre système.
 </footnote>
 C'est-à-dire, sans utiliser le système d'exploitation du système à
@@ -355,7 +477,7 @@
 les outils de vérification d'intégrité (et le noyau du système
 d'exploitation) n'ont pas été falsifiés.
 
-<P>Certains des outils mentionnés dans la sections des outils
+<P>Certains des outils mentionnés dans la section des outils
 d'intégrité, comme <prgn>aide</prgn>, <prgn>integrit</prgn> ou
 <prgn>samhain</prgn>, sont déjà préparés pour faire des vérifications
 périodiques (en utilisant la crontab dans les deux premiers cas et en
@@ -419,9 +541,9 @@
 certain nombre d'hôtes de votre réseau ainsi que pour votre propre hôte. C'est un
 outil qui peut être installé sur n'importe quel routeur
 pour garder un &oelig;il sur le réseau. Installez-le simplement avec
-<tt>apt-get install snort</tt>, suivez les questions et regardez les logs. Pour
-un cadre de travail de sécurité un peu plus large, veuillez voir <url
-id="http://www.prelude-ids.org"; name="Prelude">.
+<tt>apt-get install snort</tt>, suivez les questions et surveillez ses
+journaux. Pour une infrastructure de sécurité un peu plus large, voir
+<url id="http://www.prelude-ids.org"; name="Prelude">.
 
 <p>
 Le paquet <package>snort</package> de Debian est installé avec de nombreuses vérifications de sécurité 
@@ -449,25 +571,26 @@
 <package>idswakeup</package>, un générateur de fausses alertes et qui inclut un
 grand nombre de signature d'attaques communes.
 
-<sect1>La détection d'intrusion fondée sur hôte 
+<sect1>La détection d'intrusion fondée sur l'hôte
 
-<p>La détection d'intrusion fondée sur l'hôte implique de charger des logiciels
-sur le système à étudier qui utilise les fichiers de journaux et/ou les
+<p>La détection d'intrusion fondée sur l'hôte implique d'activer, sur
+le système à étudier, un logiciel qui utilise les journaux ou les
 programmes d'audit du système comme source de données. Il scrute les processus
 suspects, scrute les accès d'hôtes et peut même scruter les changements aux
 fichiers critiques du système.
 
 <p><package>Tiger</package> est un ancien outil de détection d'intrusion qui
-a été porté sous Debian depuis la distribution woody. <prgn>Tiger</prgn>
-fournit un ensemble de vérifications sur des problèmes communs liés aux failles de sécurité, il vérifie la 
-force des mots de passe, les problèmes du système de fichiers, les processus de
+a été porté sous Debian depuis la distribution Woody. <prgn>Tiger</prgn>
+fournit un ensemble de vérifications sur des problèmes communs liés aux
+failles de sécurité, il vérifie la force des mots de passe, les
+problèmes du système de fichiers, les processus de
 communications et d'autres façons par lesquelles root peut être compromis. Ce
 paquet inclut de nouvelles vérifications de sécurité spécifiques à Debian
 comprenant&nbsp;: les vérifications de MD5sums des fichiers installés, les
 emplacements de fichiers n'appartenant pas aux paquets et l'analyse des
 processus locaux à l'écoute. L'installation par défaut configure
-<prgn>tiger</prgn> pour être exécuté chaquet jour, générant un compte-rendu qui
-est envoyé au super-utilisateur à propos des compromis possibles du système.
+<prgn>tiger</prgn> pour être exécuté chaque jour, générant un compte-rendu qui
+est envoyé au superutilisateur à propos des compromissions possibles du système.
 
 <p>Des outils d'analyse de journaux comme <package>logcheck</package> peuvent
 également être utilisés pour détecter des tentatives d'intrusions. Voir <ref
@@ -575,9 +698,9 @@
 Vous n'avez pas besoin d'installer <package>lcap</package> pour faire cela, mais
 c'est plus facile que de configurer <file>/proc/sys/kernel/cap-bound</file> à la main.
 </footnote>
-Pour plus d'informations sur ces fonctionnalités, vous pouvez vérifier la
+Il y a de vieilles informations sur ces fonctionnalités dans la
 section de Jon Corbet <url id="http://lwn.net/1999/1202/kernel.php3"; 
-name="Kernel development">  sur LWN (décembre 1999).
+name="Kernel development"> sur LWN datant de décembre 1999.
 
 </list>
 
@@ -608,14 +731,6 @@
 de plusieurs rootkits connus sur le système local, mais ce n'est pas un test
 définitif.
 
-<p>Vous pouvez aussi utiliser
-<url name="KSTAT" id="http://s0ftpj.org/en/site.html";> (Kernel Security Therapy Anti
-Trolls) du groupe S0ftproject.
-KSTAT vérifie la zone mémoire du kernel (<file>/dev/kmem</file>) pour des
-informations au sujet de l'hôte cible pour aider l'administrateur système à
-trouver et supprimer des LKM <!-- malicious -->.
-
-
 <sect>Idées géniales/paranoïaques &mdash; ce que vous pourriez faire
 
 <p><!-- AA duh ? -->
@@ -636,7 +751,7 @@
 <item>Journalisation fasciste. Je voudrais dire que tout ce dont nous avons
 discuté plus haut est de la «&nbsp;journalisation douce&nbsp;». Si vous voulez effectuer
 une vraie journalisation, procurez-vous une imprimante avec du papier listing
-<!-- traduction de fanfold ? --> et journalisez tout en l'imprimant. Ca semble
+<!-- traduction de fanfold ? --> et journalisez tout en l'imprimant. Cela semble
 amusant, mais c'est fiable et ne peut être supprimé, ni altéré.
 
 <item>Distribution CD. Cette idée est très simple à réaliser et offre une assez
@@ -646,7 +761,7 @@
 600&nbsp;Mo d'espace pour les services. Assurez-vous juste que toutes les 
 données qui devraient être écrites, soient écrites via le réseau. Il est
 impossible pour des intrus d'obtenir un accès en lecture/écriture sur ce système
-et tout changement qu'un intrus ferait peut être désactiver avec un redémarrage
+et tout changement qu'un intrus ferait peut être désactivé avec un redémarrage
 du système.
 
 <item>Désactiver la capacité module. Comme décrit auparavant, quand vous
@@ -680,14 +795,14 @@
 <file>/etc/</file>, en utilisant <prgn>tar</prgn> et marquez l'archive comme
 immuable.
 
-<p>Cette stratégie vous aider à limiter les dégâts que vous pouvez faire quand
+<p>Cette stratégie vous aidera à limiter les dégâts que vous pouvez faire quand
  vous êtes connecté en root. Vous n'écraserez pas de fichiers avec un opérateur
  de redirection égaré, et vous ne rendrez pas votre système inutilisable avec
- un espace mal placé dans une commande <prgn>rm -fr</prgn> (vous pourriez encore
- faire pas mal de dégâts à vos données &mdash; mais vos librairies et binaires
+ une espace mal placée dans une commande <prgn>rm -rf</prgn> (vous pourriez encore
+ faire pas mal de dégâts à vos données &mdash; mais vos bibliothèques et binaires
  seront plus à l'abri).
 
-<p>Cela rend aussi un large éventail d'exploits de sécurité et de denis de 
+<p>Cela rend aussi un large éventail d'exploits de sécurité et de dénis de
  service soit impossibles soit plus difficiles (car beaucoup d'entre eux comptent
  sur l'écrasement d'un fichier à travers les actions d'un programme SETUID qui
  <em>ne fournit pas une commande shell arbitraire</em>).
@@ -707,8 +822,8 @@
 pourriez donc souhaiter avoir un mécanisme pour désactiver le drapeau immuable
 sur tous les binaires juste avant de faire un <prgn>apt-get update</prgn>.
 
-<item>Jouez avec le cablage UTP de façon à couper 2 ou 4 brins et rendez le
-cable à sens unique. Puis utilisez des paquets UDP pour envoyer des informations
+<item>Couper 2 ou 4 fils du câble afin de rendre les communications UDP
+unidirectionnelles. Ensuite, utilisez des paquets UDP pour envoyer des informations
 à la machine destinatrice qui peut agir en tant que serveur de journalisation
 sécurisé ou système de stockage de carte de crédit.
 
@@ -739,7 +854,7 @@
 surveiller. Vous pouvez facilement mettre en place le serveur de pot de
 miel factice ainsi que le pare-feu<footnote>Vous utiliserez généralement
 un pare-feu pont pour que le pare-feu lui-même ne soit pas détectable,
-voir <ref id="bridge-fw"></footnote> qui contrôle le pot de miel et un
+voir <ref id="bridge-fw">.</footnote> qui contrôle le pot de miel et un
 certain type de détecteur d'intrusion réseau, placez-le sur l'Internet
 et attendez. Prenez soin de vous assurer d'être averti à temps (voir
 <ref id="log-alerts">) si le système est victime d'un exploit pour que
@@ -752,7 +867,7 @@
 <item>la technologie pare-feu dont vous aurez besoin (fourni par les 
 noyaux Linux).
 
-<item><package>syslog-ng</package> pour envoyer les logs du pot de miel
+<item><package>syslog-ng</package> pour envoyer les journaux du pot de miel
 vers un serveur syslog distant.
 
 <item><package>snort</package> pour configurer la capture de tout le trafic
@@ -769,7 +884,7 @@
 Page d'origine&nbsp;: <url id="http://www.all.net/dtk/"; name="Deception Toolkit">
  --> 
 
-<item>bien sûr, tous les serveurs que vous utiliserez pour votre serveur
+<item>ainsi que tous les serveurs que vous utiliserez pour votre serveur
 mot de miel factice. Selon le type d'attaquant que vous voulez analyser,
 vous renforcerez <em>ou non</em> le pot de miel et vous le conserverez
 ou non à jour avec les mises à jour de sécurité.
@@ -789,12 +904,6 @@
 <item><package>tinyhoneypot</package> pour mettre en place un serveur
 pot de miel simple avec des services factices.
 
-<!-- This one is not packaged and I don't believe it's useful anyway:
-<item>The Deception Toolkit, which uses deception to counter attacks.
-Homepage: <url id="http://www.all.net/dtk/"; name="Deception Toolkit">
--->
-
-
 </list>
 
 <p>Si vous ne pouvez pas utiliser des systèmes de réserve pour
@@ -803,9 +912,9 @@
 disponible dans <prgn>xen</prgn> ou <prgn>uml</prgn> (User-Mode-Linux).
 Si vous choisissez cette route, vous devrez modifier votre noyau soit
 avec <package>kernel-patch-xen</package>, soit avec
-<package>kernel-patch-uml</package>.
+<package>kernel-patch-uml</package>, ou encore installer l'un des noyaux
+précompilés offerts depuis Debian Lenny.
 
-
 <p>Vous pouvez en lire plus sur la construction des pots de miel dans l'excellent
 article de Lance Spizner
 <url id="http://www.net-security.org/text/articles/spitzner/honeypot.shtml";
@@ -816,5 +925,5 @@
 name="Building your own honeypot"> de David Raikow.
  -->
 De même, le <url id="http://project.honeynet.org/"; name="Honeynet Project">
-fournit des informations de valeurs sur comment configurer un pot de miel et
-comment auditer les résultats d'une attaque.
+fournit des informations utiles sur la façon de configurer un pot de miel
+et d'auditer les résultats d'une attaque.